Del via

Arbejd med avancerede resultater af jagtforespørgslen

  • Artikel
  • Gælder for:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Vigtigt!

Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.

Selvom du kan konstruere dine avancerede jagtforespørgsler for at returnere præcise oplysninger, kan du også arbejde med forespørgselsresultaterne for at få yderligere indsigt og undersøge specifikke aktiviteter og indikatorer. Du kan foretage følgende handlinger på dine forespørgselsresultater:

  • Vis resultater som en tabel eller et diagram
  • Eksportér tabeller og diagrammer
  • Analysér ned til detaljerede enhedsoplysninger
  • Tilpas dine forespørgsler direkte fra resultaterne

Få vist forespørgselsresultater som en tabel eller et diagram

Som standard viser avanceret jagt forespørgselsresultater som tabeldata. Du kan også få vist de samme data som et diagram. Avanceret jagt understøtter følgende visninger:

Visningstype Beskrivelse
Bord Viser forespørgselsresultaterne i tabelformat
Søjlediagram Gengiver en række entydige elementer på x-aksen som lodrette streger, hvis højde repræsenterer numeriske værdier fra et andet felt
Cirkeldiagram Gengiver sektionstærter, der repræsenterer entydige elementer. Størrelsen af hvert cirkeldiagram repræsenterer numeriske værdier fra et andet felt.
Kurvediagram Afbilder numeriske værdier for en række entydige elementer og forbinder de afbildede værdier
Punktdiagram Afbilder numeriske værdier for en række entydige elementer
Områdediagram Afbilder numeriske værdier for en række entydige elementer og udfylder sektionerne under de afbildede værdier
Stablet områdediagram Afbilder numeriske værdier for en række entydige elementer og stabler de udfyldte sektioner under de afbildede værdier
Tidsdiagram Afbilder værdier efter antal på en lineær tidsskala

Konstruer forespørgsler for effektive diagrammer

Når du gengiver diagrammer, identificerer avanceret jagt automatisk de kolonner, der er interessante, og de numeriske værdier, der skal aggregeres. Hvis du vil have meningsfulde diagrammer, skal du konstruere dine forespørgsler for at returnere de specifikke værdier, du vil have vist visualiseret. Her er nogle eksempelforespørgsler og de diagrammer, der oprettes.

Beskeder efter alvorsgrad

Brug operatoren summarize til at få et numerisk antal af de værdier, du vil oprette et diagram over. I forespørgslen nedenfor bruges operatoren summarize til at hente antallet af beskeder efter alvorsgrad.

AlertInfo
| summarize Total = count() by Severity

Når du gengiver resultaterne, viser et søjlediagram hver alvorsgradsværdi som en separat kolonne:

AlertInfo
| summarize Total = count() by Severity
| render columnchart

Et eksempel på et diagram, der viser avancerede jagtresultater på Microsoft Defender portalen

Phishing-mails på tværs af top ti afsenderdomæner

Hvis du arbejder med en liste over værdier, der ikke er endelige, kan du bruge operatoren Top til kun at oprette diagrammer over værdierne med de fleste forekomster. Hvis du f.eks. vil have de øverste 10 afsenderdomæner med de mest phishing-mails, skal du bruge forespørgslen nedenfor:

EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count

Brug cirkeldiagramvisningen til effektivt at vise distribution på tværs af de øverste domæner:

Det cirkeldiagram, der viser avancerede jagtresultater på Microsoft Defender-portalen

Filaktiviteter over tid

Ved hjælp af operatoren summarize med funktionen bin() kan du kontrollere, om der er hændelser, der involverer en bestemt indikator over tid. Forespørgslen nedenfor tæller hændelser, der involverer filen invoice.doc , med 30 minutters intervaller for at få vist stigninger i aktiviteter, der er relateret til den pågældende fil:

CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)

Kurvediagrammet nedenfor fremhæver tydeligt tidsperioder med mere aktivitet, der involverer invoice.doc:

Det kurvediagram, der viser avancerede jagtresultater på Microsoft Defender-portalen

Eksportér tabeller og diagrammer

Når du har kørt en forespørgsel, skal du vælge Eksportér for at gemme resultaterne i den lokale fil. Den valgte visning bestemmer, hvordan resultaterne eksporteres:

  • Tabelvisning – Forespørgselsresultaterne eksporteres i tabelformat som en Microsoft Excel-projektmappe
  • Et diagram – forespørgselsresultaterne eksporteres som et JPEG-billede af det gengivne diagram

Filtrer resultater

Når du har kørt en forespørgsel, skal du vælge Filtrer for at indsnævre resultaterne.

Skærmbillede af filtre i avanceret jagt.

Hvis du vil tilføje et filter, skal du markere de data, du vil filtrere efter, ved at markere et eller flere af afkrydsningsfelterne. Vælg derefter Tilføj.

Skærmbillede af rullelisten Filtre i avanceret jagt.

Du kan indsnævre resultaterne yderligere til bestemte data ved at vælge det nyligt tilføjede filter.

Skærmbillede af ny filterpille i avanceret jagt.

Dette åbner en rulleliste, der viser de mulige filtre, du kan bruge yderligere. Markér et eller flere af afkrydsningsfelterne, og vælg derefter Anvend.

Skærmbillede af rullelisten for nyt filter i avanceret jagt.

Bekræft, at du har tilføjet de ønskede filtre, ved at markere afsnittet Filtre.

Skærmbillede af filtre, der er tilføjet avanceret jagt.

Analysér ned fra forespørgselsresultater

Du kan også udforske resultaterne på linje med følgende funktioner:

  • Udvid et resultat ved at vælge rullepilen til venstre for hvert resultat
  • Hvis det er relevant, kan du udvide detaljer for resultater, der er i JSON- og matrixformater, ved at vælge rullepilen til venstre for relevante kolonnenavne for at få tilføjet læsbarhed
  • Åbn sideruden for at få vist oplysninger om en post (samtidig med udvidede rækker)

Skærmbillede af udvidelse af resultater til detailudledning

Du kan også højreklikke på en hvilken som helst resultatværdi i en række, så du kan bruge den til at føje flere filtre til den eksisterende forespørgsel eller kopiere værdien til brug i den videre undersøgelse.

Skærmbillede af indstillinger, når du højreklikker på en indstilling

Desuden kan du for JSON- og matrixfelter højreklikke og opdatere den eksisterende forespørgsel, så den inkluderer eller udelader feltet, eller hvis du vil udvide feltet til en ny kolonne.

Skærmbillede af indstillinger, når du højreklikker på en indstilling for JSON- og matrixfelter

Hvis du hurtigt vil undersøge en post i dine forespørgselsresultater, skal du vælge den tilsvarende række for at åbne panelet Undersøg post . Panelet indeholder følgende oplysninger baseret på den valgte post:

  • Assets – Opsummeret visning af hovedaktiverne (postkasser, enheder og brugere), der findes i posten, beriget med tilgængelige oplysninger, f.eks. risiko- og eksponeringsniveauer
  • Alle detaljer – alle værdierne fra kolonnerne i posten

Den valgte post med panel til undersøgelse af posten på Microsoft Defender-portalen

Hvis du vil have vist flere oplysninger om et bestemt objekt i dine forespørgselsresultater, f.eks. en computer, fil, bruger, IP-adresse eller URL-adresse, skal du vælge enheds-id'et for at åbne en detaljeret profilside for det pågældende objekt.

Tilpas dine forespørgsler ud fra resultaterne

Vælg de tre prikker til højre for en hvilken som helst kolonne i panelet Undersøg post . Du kan bruge indstillingerne til at:

  • Søg eksplicit efter den valgte værdi (==)
  • Udelad den valgte værdi fra forespørgslen (!=)
  • Få mere avancerede operatorer til at føje værdien til din forespørgsel, f.eks. contains, starts withog ends with

Skærmbillede af ruden Handlingstype på siden Undersøg post på Microsoft Defender portalen.

Føj elementer til Favoritter

Du kan føje dine ofte anvendte skemaer, funktioner, forespørgsler og registreringsregler til afsnittet Favoritter på hver fane på siden avanceret jagt for at få hurtig adgang.

Skærmbillede af siden avanceret jagt med sektionen Favoritter fremhævet.

Hvis du f.eks. vil føje AlertInfo til dine favoritter, skal du gå til fanen Skema og vælge de tre prikker til højre for tabellen og vælge Føj til favoritter.

Skærmbillede af indstillingen Føj til Favoritter på siden avanceret jagt.

Der vises en meddelelse om, at elementet blev føjet til Favoritter.

Skærmbillede af meddelelse om, at et nyt element blev føjet til Favoritter i avanceret jagt.

Du kan gøre det samme for dine gemte funktioner, forespørgsler og brugerdefinerede registreringer i deres respektive sektioner Favoritter direkte under hver fane (funktioner, forespørgsler og regler for registrering).

Bemærk!

Nogle tabeller i denne artikel er muligvis ikke tilgængelige på Microsoft Defender for Endpoint. Slå Microsoft Defender XDR til for at jage efter trusler ved hjælp af flere datakilder. Du kan flytte dine avancerede arbejdsprocesser for jagt fra Microsoft Defender for Endpoint til Microsoft Defender XDR ved at følge trinnene i Overfør avancerede jagtforespørgsler fra Microsoft Defender for Endpoint.

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.